Выполнение произвольного кода в Microsoft XMLHTTP ActiveX компоненте
| Дата публикации: | 06.11.2006 |
| Дата изменения: | 24.03.2009 |
| Всего просмотров: | 5641 |
| Опасность: | Критическая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Microsoft Windows 2000 Professional
Microsoft Windows XP Home Edition Microsoft Windows 2000 Server Microsoft Windows 2000 Advanced Server Microsoft Windows XP Professional Microsoft Windows Server 2003 Standard Edition Microsoft Windows Server 2003 Enterprise Edition Microsoft Windows Server 2003 Datacenter Edition Microsoft Windows Server 2003 Web Edition Microsoft Windows 2000 Datacenter Server Microsoft XML Core Services (MSXML) 4.x Microsoft XML Core Services (MSXML) 6.x |
| Уязвимые версии: Microsoft Core XML Services (MSXML) 4.0
Описание: Уязвимость существует из-за некорректной обработки HTTP запроса в функции setRequestHeader() в XMLHTTP 4.0 ActiveX компоненте. Удаленный пользователь может с помощью специально сформированной Web страницы выполнить произвольный код на целевой системе. Примечание: уязвимость активно эксплуатируется в настоящее время. URL производителя: www.microsoft.com Решение: Установите последнюю версию с сайта производителя. В качестве временного решения производитель рекомендует установить kill-bit на уязвимый ActiveX компонент. Журнал изменений: |
|
| Ссылки: |
Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution (927892) MS Internet Explorer 6/7 (XML Core Services) Remote Code Exec Exploit |